Cyberkriminelle kapern SaaS-Vertrauen für neue Angriffswelle

Betrüger nutzen legitime Plattformen wie Microsoft und Zoom für gezielte Vishing-Angriffe auf Unternehmen. Eine neue Welle raffinierter Cyberattacken zielt auf Unternehmensumgebungen ab. Dabei nutzen Hacker das inhärente Vertrauen in Software-as-a-Service (SaaS)-Plattformen für Voice-Phishing-Betrug. Ihr Ziel: sensible Zugangsdaten stehlen, die Zwei-Faktor-Authentifizierung (2FA) umgehen und Daten für Erpressungsversuche abfließen lassen.

Sicherheitsberichte zeigen eine deutliche Eskalation dieser Taktiken. Angreifer setzen weniger auf komplexe technische Exploits, sondern verstärkt auf Social Engineering. So kompromittieren sie selbst gut verteidigte Organisationen.

Angriff mit legitimen Benachrichtigungen

In einer kürzlich identifizierten Kampagne missbrauchten Kriminelle die legitimen Benachrichtigungssysteme vertrauenswürdiger SaaS-Anbieter. Ein Bericht von Check Point Research vom 9. Februar 2026 dokumentiert das Vorgehen: Über 133.000 E-Mails wurden an mehr als 20.000 Organisationen versendet.

Die Nachrichten imitierten authentische Benachrichtigungen von Microsoft, Zoom, Amazon oder PayPal. Ihr Zweck: Empfänger dazu zu bringen, eine von den Angreifern kontrollierte Telefonnummer anzurufen und so einen Vishing-Angriff auszulösen. Diese Methode umgeht geschickt traditionelle E-Mail-Sicherheitsfilter, die auf bösartige Links ausgelegt sind. Stattdessen dient das vertraute Branding großer Plattformen als Köder.

CEO-Fraud und Vishing sind keine Randerscheinungen — Angreifer nutzen vertraute Marken und echte Benachrichtigungen, um Mitarbeiter telefonisch hereinzulegen. Das kostenlose Anti-Phishing-Paket bietet eine praxisnahe 4‑Schritte-Anleitung gegen Phishing, branchenspezifische Checklisten und Hinweise, wie Sie Push- und 2FA-Angriffe erkennen und abwehren. Ideal für IT‑Verantwortliche und Security-Teams, die schnell Schutzmaßnahmen implementieren wollen. Jetzt Anti-Phishing-Paket herunterladen

Dieser Trend ist Teil eines umfassenderen Anstiegs von Social-Engineering-Angriffen auf das SaaS-Ökosystem. Sicherheitsforscher verfolgen mehrere Bedrohungscluster, darunter die berüchtigte Cybercrime-Gruppe ShinyHunters. Sie hat ihre Kampagnen zum Diebstahl von Daten aus Unternehmens-SaaS-Anwendungen intensiviert.

So funktioniert der moderne Vishing-Betrug

Die aktuelle Angriffsmethodik zeichnet sich durch ihre Abhängigkeit von menschlicher Interaktion aus – nicht von Software-Schwachstellen. Die Angreifer geben sich als vertrauenswürdige Entität aus, meist als Mitarbeiter der IT-Abteilung des Zielunternehmens.

Sie kontaktieren Mitarbeiter per Telefonanruf und erzeugen ein Gefühl der Dringlichkeit. Während des Gesprächs behaupten sie, das Unternehmen führe ein dringendes Update der Sicherheits- oder 2FA-Einstellungen durch. Sie lenken den Mitarbeiter auf eine Phishing-Website, die das legitime Single-Sign-On (SSO)-Portal des Unternehmens täuschend echt nachahmt.

Sobald der Mitarbeiter seine Zugangsdaten eingibt, erfassen die Angreifer sie in Echtzeit. Um die 2FA zu überwinden, weisen sie den Nutzer an, eine Push-Benachrichtigung zu bestätigen oder einen Einmalcode vorzulesen. So kann der Bedrohungsakteur sein eigenes Gerät registrieren und erhält dauerhaften Zugang.

Mit gültigen Anmeldedaten und 2FA-Zugang können sich die Angreifer in der Unternehmensumgebung anmelden. Sie bewegen sich lateral über verschiedene verbundene SaaS-Plattformen wie Microsoft 365, SharePoint oder Slack, um sensible Daten abzuschöpfen.

ShinyHunters und die Erpressung im Cloud-Zeitalter

Die finanziell motivierte Hackergruppe ShinyHunters wird prominent mit dieser Expansion von Vishing- und SaaS-Angriffen in Verbindung gebracht. Forschungen von Mandiant, einem Google-Unternehmen, zeigen, dass mehrere Bedrohungscluster Taktiken anwenden, die mit früheren Operationen von ShinyHunters übereinstimmen.

Diese Gruppen haben ihre Ziele über erste Angriffe auf Salesforce-Instanzen hinaus erweitert. Sie zielen nun auf eine breitere Palette von Cloud-Plattformen ab, um wertvollere Daten für ihre Erpressungsmodelle zu finden.

Das ultimative Ziel dieser Datendiebstähle ist Erpressung. Nach dem Abschöpfen sensibler interner Kommunikation und Daten kontaktieren die Angreifer das Opferunternehmen und fordern eine Lösegeldzahlung. Um den Druck zu erhöhen, haben diese Gruppen ihre Taktiken laut Berichten eskaliert. Dazu gehören die Belästigung einzelner Mitarbeiter und DDoS-Angriffe auf die Websites der Opfer. Dies ist eine kalkulierte Strategie, um den Ruf des Unternehmens und Kundenbeziehungen zu schädigen und so die Zahlung zu erzwingen.

Die Herausforderung: Vertrauen als Schwachstelle

Der Aufstieg dieser Vishing-Kampagnen unterstreicht eine große Herausforderung für die moderne Cybersicherheit: die Abwehr der Ausnutzung von Vertrauen. Angreifer zielen nicht mehr nur auf technologische Lücken. Sie manipulieren aktiv menschliches Verhalten und das Vertrauen, das Mitarbeiter in ihre IT-Supportteams und die täglich genutzten digitalen Tools setzen.

Die Nutzung legitimer Plattformen für bösartige Zwecke macht die Erkennung für automatisierte Sicherheitssysteme äußerst schwierig. Die vernetzte Natur des modernen SaaS-Ökosystems schafft eine riesige Angriffsfläche. Ein einziges kompromittiertes SSO-Zertifikat kann Angreifern den Schlüssel zu einem Königreich sensibler Daten liefern, die über zahlreiche Anwendungen verteilt sind.

Diese Realität wird durch einen anhaltenden Mangel an qualifizierten Cybersicherheitsexperten und eine Lücke in der Reife der Cloud-Sicherheitspraktiken vieler Organisationen verschärft. Sicherheitsexperten betonen: Dieser Angriffsvektor basiert nicht auf Schwachstellen in den SaaS-Produkten selbst, sondern auf raffiniertem Social Engineering. Die Abwehr dieser Bedrohung erfordert daher einen mehrschichtigen Ansatz.

Ausblick und Schutzstrategien für Unternehmen

Organisationen müssen ihre Sicherheitsposition anpassen, um diesen sich entwickelnden Social-Engineering-Bedrohungen zu begegnen. Experten empfehlen einen erneuten Fokus auf Mitarbeiterschulungen. Mitarbeiter müssen lernen, die Anzeichen von Vishing und anderen Identitätsdiebstahl-Taktiken zu erkennen.

Dazu gehört, eine gesunde Skepsis gegenüber unaufgeforderten Anrufen oder dringenden Aufforderungen zur Preisgabe von Zugangsdaten zu entwickeln – selbst wenn sie scheinbar aus einer internen Quelle stammen.

Eine kritische technische Verteidigungsmaßnahme ist die Einführung von phishing-resistenter 2FA. Technologien wie FIDO2-Sicherheitsschlüssel oder Passkeys sind widerstandsfähiger gegen Social Engineering als push-basierte oder SMS-Authentifizierungsmethoden. Sie können nicht einfach von einem entfernten Angreifer abgefangen oder genehmigt werden.

Darüber hinaus sollten Organisationen ihre Überwachungs- und Erkennungsfähigkeiten in ihren Cloud-Umgebungen verbessern. Ziel ist es, anomale Aktivitäten zu identifizieren – wie ungewöhnliche Login-Muster oder großangelegten Datenabfluss von SaaS-Plattformen.

Da Bedrohungsakteure ihre Methoden durch den Einsatz von KI und Automatisierung weiter verfeinern, müssen Verteidiger ebenfalls fortschrittliche, koordinierte Sicherheitstools einsetzen. Nur so können sie mit der sich rasch verändernden Bedrohungslandschaft Schritt halten.

PS: Schützen Sie Ihr Unternehmen vor Vishing und CEO‑Fraud — dieser kostenlose Guide erklärt in vier klaren Schritten, wie Sie Mitarbeiter schulen, verdächtige Anrufe analysieren und gefährliche Social‑Engineering-Muster stoppen. Enthalten sind Vorlagen für Awareness-Trainings, Anruf-Checks und technische Gegenmaßnahmen, die Sie sofort einsetzen können. Kostenloses Anti-Phishing-Paket anfordern